论文部分内容阅读
互联网为信息共享和交互提供了极大的便利,但随之而来的网络安全问题也日益明显。作为一种主动的信息安全保障措施,入侵检测已经与诸如加密认证和访问控制等基于防御的安全机制一起成为保护网络免受恶意攻击的第二道防线。然而,传统的入侵检测系统存在的三大缺陷:误警率过高,告警量过大,告警所包含的信息过少,导致系统管理员不堪重负,并使他们不能充分的了解和掌握网络的安全状况以便及时做出恰当的反应。因此,如何对告警进行再分析和再组织,消除冗余告警、组合琐碎的告警,成为入侵检测领域急需解决的问题。为了解决上述问题,告警的关联分析逐渐成为该领域的研究重点。 本文首先分析了入侵检测系统中告警的特点,在此基础上,将告警关联分析方法分为两类(针对冗余关系和针对时序关系的告警分析方法),并给出了入侵检测系统下的告警关联分析引擎的设计方案。该方案共分为四步:消除冗余告警,将具有时序关系的告警合并为一个告警,对告警评定优先级,最后将告警按优先级顺序交给安全管理员。 其次,本文对目前较为成熟的针对时序关系的告警关联分析算法(基于攻击序列模板和基于因果关系的告警关联分析算法)进行了分析与比较。由于它们在告警缺失时很难完整的分析出告警的关联关系,本文提出了一种基于规则的动态告警关联分析算法,并通过模拟实验验证了该算法的有效性和效率。 最后,本文引入“代价敏感”的概念,提出了基于代价敏感的告警关联分析算法。通过建立代价模型,计算告警的危害代价和响应代价,并根据它们确定告警的优先级,提高安全管理员的工作效率。目前判断告警优先级的方法很多,但如何定量判断优先级,本文是第一次尝试。模拟实验表明,该方法可以通过对告警的危害代价和响应代价的定量分析,判断告警的优先级。